ใน News

พบช่องโหว่ BootROM ใหม่ในชิป A12 และ A13 ของ Apple

โดย Thitirath Kinaret 19 มิ.ย. 2026, 09:49 น. 180 ดู

นักวิจัยด้านความปลอดภัย พบช่องโหว่ BootROM ใหม่ในชิป A12 และ A13 ของ Apple ซึ่งไม่สามารถแก้ไขผ่านการอัปเดตซอฟต์แวร์ได้ และอาจเปิดทางให้รันโค้ดที่ไม่ได้รับการรับรองบนอุปกรณ์ได้

พบช่องโหว่ BootROM ใหม่ในชิป A12 และ A13 ของ Apple

Paradigm Shift บริษัทวิจัยด้านความปลอดภัยไซเบอร์ เปิดเผยรายละเอียดของช่องโหว่ BootROM ใหม่ที่ส่งผลกระทบต่อชิป Apple A12 และ A13 พร้อมเผยแพร่ตัวอย่างโค้ดโจมตี (Proof of Concept) ที่ใช้ชื่อว่า “usbliter8”

ช่องโหว่นี้ถือเป็นหนึ่งในช่องโหว่ระดับล่างสุดของระบบ เนื่องจากอยู่ใน BootROM หรือ SecureROM ซึ่งเป็นโค้ดชุดแรกที่ทำงานทันทีเมื่อ iPhone เปิดเครื่อง

BootROM คืออะไร และทำไมจึงสำคัญ

BootROM เป็นซอฟต์แวร์ที่ถูกบันทึกไว้ในชิปตั้งแต่กระบวนการผลิต เนื่องจากเป็นส่วนหนึ่งของฮาร์ดแวร์โดยตรง Apple จึงไม่สามารถแก้ไขหรืออุดช่องโหว่ดังกล่าวผ่านการอัปเดต iOS ได้

นั่นหมายความว่าอุปกรณ์ที่ได้รับผลกระทบจะยังคงมีช่องโหว่นี้ตลอดอายุการใช้งานของตัวเครื่อง

ต่อยอดจากช่องโหว่ checkm8 ในอดีต

ก่อนหน้านี้ ช่องโหว่ BootROM ที่มีชื่อเสียงที่สุดคือ “checkm8” ซึ่งถูกเปิดเผยในปี 2019 โดย checkm8 ส่งผลกระทบต่ออุปกรณ์ตั้งแต่ iPhone 4S ไปจนถึง iPhone X

ส่วน usbliter8 ขยายขอบเขตการโจมตีมายังอุปกรณ์ที่ใช้ชิป A12 และ A13 ได้แก่

iPhone XS
iPhone XS Max
iPhone XR
iPhone 11
iPhone 11 Pro
iPhone 11 Pro Max

ช่องโหว่เกิดจากคอนโทรลเลอร์ USB ในชิป

นักวิจัยพบว่าช่องโหว่เกิดขึ้นในคอนโทรลเลอร์ USB ที่ฝังอยู่ภายในชิปของ Apple โดยระหว่างขั้นตอนการบูตเครื่อง คอนโทรลเลอร์ USB จะใช้พื้นที่หน่วยความจำชั่วคราว (Buffer) สำหรับเก็บข้อมูลที่รับเข้ามา

Paradigm Shift พบว่าหากส่งแพ็กเก็ตข้อมูล USB ขนาดเล็กผิดปกติในลำดับที่กำหนด สามารถทำให้ตัวชี้ตำแหน่งหน่วยความจำภายในฮาร์ดแวร์เคลื่อนที่ย้อนกลับได้

ผลลัพธ์คือผู้โจมตีสามารถเขียนข้อมูลไปยังตำแหน่งหน่วยความจำที่ไม่ควรเข้าถึงได้

นักวิจัยเชื่อว่าปัญหานี้เป็นข้อบกพร่องของฮาร์ดแวร์ USB Controller โดยตรง ไม่ใช่ข้อผิดพลาดของซอฟต์แวร์จาก Apple

ทำไม A11 และ A14 จึงไม่ได้รับผลกระทบ

Paradigm Shift ระบุว่า ชิป A11 ที่ใช้ใน iPhone X ไม่ได้รับผลกระทบ เนื่องจากไดรเวอร์ USB จะรีเซ็ตตัวชี้หน่วยความจำหลังรับข้อมูลแต่ละแพ็กเก็ต

ขณะที่ชิป A14 และรุ่นใหม่กว่าได้รับการป้องกันด้วยระบบปกป้องหน่วยความจำที่ถูกกำหนดค่าไว้อย่างถูกต้องตั้งแต่ระดับ BootROM

ทำให้ชิป A12 และ A13 กลายเป็นกลุ่มที่อยู่ระหว่างสองยุคของสถาปัตยกรรมความปลอดภัย และเป็นกลุ่มที่ได้รับผลกระทบจากช่องโหว่นี้

การโจมตี A13 ซับซ้อนกว่า A12

อุปกรณ์ที่ใช้ชิป A12 การเข้าควบคุมระบบผ่านช่องโหว่นี้ทำได้ค่อนข้างตรงไปตรงมา อย่างไรก็ตาม Apple ได้เพิ่มระบบความปลอดภัยที่เรียกว่า Pointer Authentication Codes (PAC) เข้ามาในชิป A13

โดย PAC ถูกออกแบบมาเพื่อตรวจจับ และป้องกันการแก้ไขข้อมูลในหน่วยความจำที่ไม่ถูกต้อง

นักวิจัยระบุว่าพวกเขาต้องใช้กระบวนการหลายขั้นตอนเพื่อหลบเลี่ยงระบบ PAC ก่อนจะสามารถเข้าควบคุมตัวประมวลผลของ A13 ได้สำเร็จ

ช่องโหว่นี้ทำอะไรได้บ้าง

หลังจากเข้าควบคุมระบบได้สำเร็จ usbliter8 จะติดตั้งตัวจัดการพิเศษที่ยังคงทำงานได้แม้หลังจากรีสตาร์ตเครื่อง

จากนั้นจะเพิ่มความสามารถสำคัญ 2 อย่าง ได้แก่

ลดระดับการป้องกันความปลอดภัยของอุปกรณ์ชั่วคราว
บูตซอฟต์แวร์ที่ไม่ได้รับการลงลายเซ็นดิจิทัลจาก Apple ได้

นอกจากนี้เครื่องที่ถูกโจมตีสำเร็จจะมีคำว่า “PWND” ปรากฏในหมายเลขซีเรียล USB ของอุปกรณ์

ซึ่งเป็นธรรมเนียมที่ถูกใช้มาตั้งแต่ยุคของ checkm8 และเครื่องมือเจลเบรกในอดีต

ไม่โจมตี Secure Enclave โดยตรง แต่เพิ่มความเสี่ยง

Paradigm Shift ระบุว่าช่องโหว่นี้ไม่ได้เจาะระบบ Secure Enclave โดยตรง อย่างไรก็ตาม การเข้าถึงระดับ BootROM ได้สำเร็จอาจเปิดโอกาสให้เกิดการวิจัยหรือการโจมตีเพิ่มเติมต่อระบบ Secure Enclave ในอนาคตได้ง่ายขึ้น

Apple รับทราบข้อมูลก่อนเผยแพร่

นักวิจัยเปิดเผยว่าพวกเขาได้แจ้งรายละเอียดช่องโหว่ให้ทีม Apple Product Security ทราบก่อนเผยแพร่ข้อมูลสู่สาธารณะ พร้อมทั้งประสานงานกับ Apple ตามกระบวนการเปิดเผยช่องโหว่อย่างรับผิดชอบ (Coordinated Disclosure)

ปัจจุบัน Paradigm Shift ได้เผยแพร่รายละเอียดทางเทคนิค และโค้ดตัวอย่างของ usbliter8 ออกสู่สาธารณะแล้ว